国家数据局对中国数据治理格局的影响
2023年3月10日
王源 北京高勤律师事务所合伙人
根据十四届全国人大一次会议表决通过《关于国务院机构改革方案的决定》[1],中国组建国家数据局[2],负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。我们从机构定位、职能职责、待探索事项三个方面进行梳理和分析。
1. 国家数据局的机构定位
国家数据局是由国家发展和改革委员会(“发改委”)管理的国家局,为副部级单位。目前由26个国务院组成部门(“部委”)管理的国家局(“国家局”)一共有16个,国家数据局成立后,将和目前已有的国家能源局、国家粮食和物资储备局一同成为发改委管理的三个国家局。国家能源局[3]和国家粮食和物资储备局[4]都有自己专属的网站,将来国家数据局应该也有专属网站(例如,National Data Administration,NDA下的www.nda.gov.cn或者www.data.gov.cn)。
国家数据局将中央网络安全和信息化委员会办公室(“中央网信委”)和发改委(创新和高技术发展司)承担的数字和数据发展智能划入国家数据局。中央网信委是党中央16个组成部门之一,与国家互联网信息办公室(“网信办”)合署办公,但国家数据局的组建并不涉及网信办的职能改变,《关于国务院机构改革方案的说明》[5]也强调“在保持数据安全、行业数据监管、信息化发展、数字政府建设等现行工作格局总体稳定前提下”组建国家数据局。
根据《网络安全法》[6]《数据安全法》[7]《个人信息保护法》[8]《关键信息基础设施安全保护条例》[9],网信办在网络安全、数据安全、个人信息保护、关键信息基础设施安全的“统筹协调”法定职能不受影响,国家数据局成立后,“把数据资源整合共享和开发利用方面的有关职责相对集中”,国家层面数据治理中的“安全”问题归网信办,“发展”归发改委(国家数据局)。
目前,中央网信委承担的“发展”职责包括,数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责。这些职责划入国家数据局后,明年的《数字中国发展报告》[10]应该不再由网信办发布。
当然,国家数据局成立后必然将涉及和中央网信委部分职能的重叠,例如中央网信委发布的《“十四五”国家信息化规划》中信息化建设内容和中共中央国务院印发的《数字中国建设整体布局规划》中数字中国建设内容就有重叠,“信息化”和“数字化”的关系是升级概念还是并列共存?这需要在国家数据局成立后将职能厘清或者协作。另外国家数据局的职能也包括“推进数字基础设施布局”,这一部分和网信办“传统”对网络和设施、关键信息基础设施的监管也将发生重叠。
实际上,国家数据局不仅涉及与中央网信委的职能划分,还涉及所有部委的职能划分,国家数据局成立后如何将所有部委职能范围内的数据进行整合利用?实现“推动信息资源跨行业跨部门互联互通”,这是数字化带来的监管和治理新问题和必然挑战。尤其是《关于国务院机构改革方案的说明》涉及的证监会、国家金融监督管理总局(不再保留中国银行保险监督管理委员会)、科技部的职能。
本次国务院机构改革后,证监会由国务院直属事业单位调整为国务院直属机构,将具有法定的行政处罚权,强化其监管职能,其投资者保护职责划入国家金融监督管理总局,同时人民银行的金融消费者保护职责也将划入国家金融监督管理总局,意味着证监会目前负责的上市中关于个人信息保护的问询和人民银行关于金融消费者个人信息和征信信息的管理将由国家金融监督管理总局整体负责,国家数据局与国家金融监督管理总局将面临在金融数安全与发展、上市公司数据安全与发展中的协调与碰撞,其挑战程度不亚于和中央网信委的工作协调难度。
此外,本次国务院机构改革将重新组建科技部,组建中央科技委员会(意味着党中央各部门从16个增加到17个,和中央网信委职级相同),具体职能缩限,战略决策作用增强。与数据治理密切相关的主要包括三项职能:(1)科技促进社会发展规划和政策职责分别划入国家发展和改革委员会、生态环境部、国家卫生健康委员会等部门。(2)高新技术发展及产业化规划和政策,指导国家自主创新示范区、国家高新技术产业开发区等科技园区建设,指导科技服务业、技术市场、科技中介组织发展等职责划入工业和信息化部。(3)中国生物技术发展中心划入国家卫生健康委员会。国家数据局组建后,对人工智能数据利用和伦理、敏感个人信息、健康医疗数据等利用将涉及和卫健委、工信部的监管职能跨部门协调。
2. 国家数据局的职能职责
根据《关于国务院机构改革方案的说明》,国家数据局负责协调推进数据基础制度建设,统筹推进数字中国、数字经济、数字社会规划和建设等。把中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
上述职能具体体现在《数字中国建设整体布局规划》(2023年2月27日)和《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(2022年12月2日)(“《数据二十条》”)中,更具体一些体现在《数据安全法》(2021年9月1日)中,具体制度性规则(而非概念性或者原则性的方向规定)主要体现在《数据安全法》第二章(数据安全与发展)和第五章(政务数据安全与开放),包括如下三项:
(1)数据交易管理制度
《数据安全法》第19条规定了建立数据交易管理制度[11],第33条特别强调了数据交易中介服务商的责任[12]。《数据二十条》将数据基础制度分为产权制度、流通和交易制度、收益分配制度、治理制度四项,就流通和交易制度而言,国家数据局将从完善数据全流程合规与监管规则体系、统筹构建规范高效的数据交易场所、统筹构建规范高效的数据交易场所、构建数据安全合规有序跨境流通机制四个方面对流通和交易制度进行构建。
(2)数据分类分级保护制度
《数据安全法》第21条规定了建立数据分类分级保护制度[13],制定重要数据目录和对核心数据实行更加严格的管理制度。数据分类分级是数据治理和利用的起始,《数据二十条》也强调加强数据分类分级管理,“把该管的管住、该放的放开”,推进数据分类分级确权授权使用和市场化流通交易。
(3)政务数据和公共数据开放利用制度
《数据安全法》第5章(第37条至第43条)专章规定了政务数据安全与开放,第41条规定了及时、准确地公开政务数据[14],第42条规定了制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台[15]。实际上,发改委直属联系单位国家信息中心[16],国家自然资源和地理空间基础信息库[17],国家公共信用信息中心[18]已经给发改委提供了整合政务数据和公共数据开放利用的网络基础。
3. 国家数据局的待探索事项
(1)和地方政府大数据管理部门关系
在本次国务院机构改革设立发改委管理的国家数据局之前,地方政府实际上已经设立大数据管理部门,对数据利用进行管理[19]。这些大数据管理部门名称不一(例如北京和上海都称为大数据中心,重庆称为大数据应用发展管理局,但名字中间都有“大数据”),隶属机构和级别从正处到正厅均有(例如浙江省和贵州省大数据发展管理局直接隶属于省人民政府为正厅级,而广东省政务服务数据管理局隶属于广东省人民政府办公厅为正处级),还有一半以上的省没有大数据管理部门。国家数据局从中央层面和地方政府对数据的管理职责有待厘清。
(2)跨境数据流通和数据出境安全评估、网络安全审查的平衡
网信部门(中央网信委和网信办)对网络安全、信息内容安全、个人信息保护和算法等监管职责不会改变,包括《网络安全审查办法》《数据出境安全评估办法》确立的网络安全审查制度和数据出境安全评估制度,实际上《数据安全法》中的出口管制等监管职责也不会发生改变。但是数据出境制度和数据分类分级制度会面临更多的跨部门协调问题。数据流通是在国内和国际两个市场循环的,《数据二十条》的第十一条任务包括构建数据安全合规有序跨境流通机制,开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,推进跨境数字贸易基础设施建设。多一些安全考量,网信部门负责的出境安全评估和网络安全审查就会严格一些;多一些发展考量,国家数据局负责的跨境流通环境就会宽松一些,尤其是持有100万个人信息的平台海外上市的网络安全审查。
(3)数据分类分级中和国家安全部门的协调
在部分行业,例如工信部已经颁布《工业数据分类分级指南(试行)》、自然资源部《智能汽车基础地图数据分类分级规则》在预研中,更早一些时间贵州省《政府数据 数据分类分级指南(DB 52/T 1123—2016)》等也有政务数据或者大数据分类分级指南。
实际上《数据安全法》不仅规定了各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,还规定了国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。因此对数据进行分类分级,尤其是核心数据和重要数据的分类分级不仅涉及数据利用,更涉及数据安全。其中对重要数据的界定是关键,构成重要数据的标准严格,数据利用空间就大一些;构成重要数据标准宽松(把什么都归为重要数据),数据利用空间就小一些。数据价值和数据数量成正比,和匿名化或者脱敏程度成反比。重要数据的界定还涉及到平台劳动成果和商业秘密,也是在分类分级需要考量的因素。因此,《数据安全法》中的国家数据安全工作协调机制究竟由谁牵头对于重要数据目录的制定就有重要影响,安全部门、网信部门、还是国家数据局统筹?
总结:数据对生产生活带来的冲击不亚于新物质的发现,新的数字利益格局下的社会秩序需要顶层设计和监管颠覆性的治理能力。本次国务院机构改革也是围绕土地(农业农村部加挂国家乡村振兴局牌子并优化职责)、劳动力(应对人口老龄化国家战略和老龄协会改由民政部代管)、资本(组建国家金融监督管理总局并对证监会、人民银行等职能调整)、技术(组建中央科技委员会)、数据(组建国家数据局)这五大要素进行的。网络安全、信息安全、数据安全和个人信息保护等既有的监管职能无法完全覆盖数据利用活动的增加对专门管理的需求,因此设立国家数据局,其核心职能为促进数字经济发展,需要跨部门和与地方政府就数据管理职能进行深度整合。国家数据局“负责协调推进数据基础制度建设,统筹推进数字中国、数字经济、数字社会规划和建设等”,制度设计和激励引导保障措施是主要的职能,而不是对数据集中管理和统一授权的行政管理。“到2025年,数字中国建设取得重要进展,到2035年数字化水平进入世界前列,数字中国取得巨大成就”,总之,顶配的制度(《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》)、顶配的目标(《数字中国建设整体布局规划》)、顶配的机构(发改委管理的国家数据局),未来可期!
本文非法律意见
韩梅对本文亦有贡献,根据2023年3月8日看懂经济一小时会议发言和“数据保护官”视频号直播发言整理。
[1]新华社快讯:“十四届全国人大一次会议表决通过关于国务院机构改革方案的决定”,载新华社微信公众号,https://mp.weixin.qq.com/s/OyTVLbM_MSAs1Qg-w5C6Aw,最后访问时间:2023年3月10日。
[2]新华社微博:“组建国家数据局”,载新华网,http://m.news.cn/2023-03/07/c_1129419141.htm,最后访问时间:2023年3月9日。
[3]国家能源局:http://www.nea.gov.cn/index.htm
[4]国家粮食和物资储备局网址:http://www.lswz.gov.cn/
[5]新华社:“(两会受权发布)关于国务院机构改革方案的说明”,载新华网,http://www.news.cn/politics/2023lh/2023-03/08/c_1129420084.htm,最后访问时间:2023年3月10日。
[6]《网络安全法》第8条第1款,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
[7]《数据安全法》第6条第4款,国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
[8]《个人信息保护法》第60条第1款,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
[9]《关键信息基础设施安全保护条例》第3条第1款,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
[10]目前国家网信办已经发布多期数字中国发展报告,可查询到的包括《数字中国发展报告(2021)》(http://www.cac.gov.cn/2022-08/02/c_1661066515613920.htm)、《数字中国发展报告(2020年)》(http://www.cac.gov.cn/2021-04/29/c_1621275347055808.htm)、《数字中国建设发展报告(2017年)》(http://www.cac.gov.cn/2018-05/09/c_1122794507.htm)。
[11]《数据安全法》第19条,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
[12]《数据安全法》第33条,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
[13]《数据安全法》第21条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
[14]《数据安全法》第41条,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
[15]《数据安全法》第42条,国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
[16]国家信息中心网址:http://www.sic.gov.cn/
[17]国家地理空间信息中心网址:http://sgic.net.cn/web/geo/index.html
[18]国家公共信用信息中心网址:http://www.ncpci.org.cn/
[19]数据保护官:“收藏版 |国家数据局即将成立!附十八家省级大数据管理部门盘点(附:十八家省级大数据管理部门盘点)”,载数据保护官公众号,https://mp.weixin.qq.com/s/OPSvkBdnQTWjWuf8tn_usw,最后访问时间:2023年3月9日。
声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。